Identifique y evite las amenazas a la seguridad: Cómo pueden los

Anuncio
Informe técnico empresarial
Identifique y evite las
amenazas a la seguridad
Cómo pueden los proveedores de servicios abordar la principal
preocupación de sus clientes: la seguridad
Informe técnico empresarial
Índice
4
Las cuatro preocupaciones principales de los directores de TI
5
Reconocer las capacidades del ciberdelincuente de hoy
5
Descompensación fundamental entre los hackers y el sector
6
En busca de una solución milagrosa
6
Aprender la lección de los adversarios
7
Perturbar, gestionar y ampliar
7
Proteja a sus clientes desde todos los ángulos
Informe técnico empresarial
Página 3
La seguridad es la principal preocupación entre los directores de TI actuales, acuciada por
los retos asociados al tamaño de la empresa y al personal de seguridad interno, requisitos
crecientes en materia de presentación de informes de conformidad, la expansión de los
puntos de conexión a Internet, servicios de acceso remoto y mucho más.
Conocen la deficiencia de las respuestas tradicionales de bloqueo total para evitar la entrada
del mundo exterior. Sus cortafuegos, motores antivirus y otras soluciones puntuales han
demostrado ser insuficientes frente a un paisaje de seguridad en constante cambio.
Mientras que las organizaciones buscan aprovechar las ventajas de la movilidad y la nube, los
límites del perímetro se han vuelto indefendibles: en efecto, la seguridad de la red interna se
ha desintegrado. Y, con el tiempo, la seguridad no se va a simplificar, puesto que la tendencia
creciente es que los datos de la empresa se gestionen de manera externa. De forma paralela
a la tormenta de productos de malware que asola Internet, también se ha producido un
acusado incremento en los ciberataques con finalidades y objetivos específicos.
Tal y como era de esperar, las empresas invierten grandes cantidades de dinero en intentar
prevenir la ciberdelincuencia: aproximadamente 46.000 millones de dólares estadounidenses
solo el pasado año (ABI Research, 2013). Al mismo tiempo, el crecimiento de las amenazas a
la seguridad resulta perturbador: En 2013, se produjo un 20 % más de ataques que en 2012 y
el coste medio de cada ataque a una organización se incrementó en un 30 % en un solo año
(Ponemon Institute, 2013).
¿Por qué están ganando los adversarios? Por desgracia, las empresas no disponen de
suficiente personal de seguridad. No es que el personal contratado no sea válido... es que hay
sillas vacías. Se prevé que aproximadamente un 40 % de los cargos de seguridad queden
vacantes en 2014 (Ponemon Institute, 2014) y esto representa una debilidad sistémica para el
sector. Como proveedor de servicios, ocupa una posición privilegiada para resolver el dilema
de la seguridad relacionada con los delitos informáticos, porque puede ofrecer al cliente el
personal, la tecnología y las soluciones para abordar el ataque a la seguridad antes de que el
cliente llegue a verlo.
Informe técnico empresarial
Página 4
Las cuatro preocupaciones principales de los directores de TI
Los directores de TI desean una infraestructura segura, transparencia en los movimientos de
datos, auditorías de seguridad simplificadas y una visibilidad global homogénea para poder
anticiparse a los problemas de seguridad. Básicamente, son cuatro las preocupaciones que les
quitan el sueño:
1. Su infraestructura. La información del director de TI está tan segura como el centro de
datos, tanto el de la organización como los centros de datos de sus proveedores de
servicios. ¿Sus proveedores poseen una seguridad de red adecuada y cortafuegos de
nueva generación? ¿Pueden supervisar para detectar amenazas desconocidas? ¿Cuál
es el tiempo medio de respuesta a un incidente? ¿Existe una visibilidad adecuada y en
tiempo real de la seguridad operativa del entorno? ¿Qué va a pasar cuando las aplicaciones
empresariales de los clientes se lancen en un entorno de nube del proveedor de servicios?
Eso constituyó una auténtica pesadilla para los pioneros en la adopción de los servicios
en la nube. Cuando sus aplicaciones residían en el seno de la organización, era posible
poner en marcha controles dirigidos a mitigar las debilidades de la seguridad, como
la codificación defectuosa. Sin embargo, en el momento en que estas aplicaciones se
trasladaron a ubicaciones externas, se perdió un elemento de control y dichas debilidades
inherentes quedaron expuestas. Este fallo de seguridad no es un defecto de la nube, sino
una debilidad de las propias aplicaciones. Y las cosas no han mejorado; un estudio reciente
de las aplicaciones empresariales actualmente en uso estableció, con gran sorpresa, que 9
de cada 10 presentaba vulnerabilidades (HPE Research, 2013).
2.El software de sus proveedores. ¿Sus socios están desarrollando y manejando sistemas
de software seguros? Si la organización utiliza plataformas de sus socios, ¿cada socio está
gestionando el riesgo a un nivel que el director de TI considera aceptable? Un análisis de
inventario no parece resultar demasiado útil en este caso. Aunque las respuestas de un
proveedor de servicios a las preguntas sobre seguridad de las infraestructuras pueden
ofrecer confianza, sus respuestas respecto a la seguridad del software pueden resultar
más complejas y menos tranquilizadoras. Los directores de TI desean una descripción del
proceso de construcción del software: a poder ser un ciclo de vida de desarrollo seguro,
valoraciones de las vulnerabilidades de terceros y otras evidencias de que el proveedor de
servicios se toma en serio la seguridad y realiza las inversiones pertinentes. Resulta esencial
ganarse la confianza de sus clientes antes de que le entreguen sus datos.
3.El software de la organización. Si el departamento de TI está desarrollando un software
personalizado destinado a alojarse en un proveedor de servicios, el director de TI
debe asegurarse de que este software está alineado e interacciona correctamente
con los servicios que utiliza del proveedor. ¿Cuál es el nivel de acceso que tienen los
desarrolladores de la organización al entorno del proveedor de servicios? ¿Existe
documentación suficiente? ¿El departamento de TI puede construir un software realmente
seguro? Si los desarrolladores están construyendo software compuesto, ¿el proveedor
permite un acceso y una visibilidad suficientes de esta solución combinada para tener la
certeza de que es segura?
4.Su conformidad normativa. Las empresas están sujetas a multitud de normativas
transnacionales, como PCI, SOX y BASEL II, además de otras muchas normativas privadas
locales y nacionales. ¿Cómo se mantiene al día con las normativas de cumplimiento y del
sector? Son complicadas y cambian y, además, son diferentes en función del país. ¿Cómo
alinea el presupuesto destinado a seguridad y riesgos con los procesos empresariales más
esenciales? ¿Cómo puede distinguir cuáles son y garantizar la visibilidad de los factores de
riesgo? ¿Cuál es su planificación y cómo integra las diferentes funciones (como TI, legal,
conformidad y abastecimiento) en un único plan?
Informe técnico empresarial
Página 5
Reconocer las capacidades del ciberdelincuente de hoy
Con todas estas inquietudes, la siguiente pregunta obvia es "¿por qué?" Los adversarios
saben que las organizaciones están intentando defenderse y proteger sus datos y el sector
lleva años hablando de lo que les motiva. Pero no importa realmente si los ciberdelincuentes
son hacktivistas, actúan impulsados por fines socio-políticos, o buscan ganancias económicas.
Lo que realmente importa son sus capacidades.
En la actualidad, los ciberdelincuentes se organizan en torno a un mercado que les permite
colaborar de formas inéditas. Por supuesto, este es un efecto típico de cualquier mercado
organizado en cualquier sector: a medida que el mercado madura, se puede observar
colaboración, especialización y mayor monetización. Los ciberdelincuentes ya no trabajan
solos; colaboran a gran escala. Hablan abiertamente en varios foros; compran y venden entre
ellos secretos empresariales, herramientas e información. Los diferentes actores y grupos se
están especializando en áreas de seguridad diferentes o en diferentes estilos de ataque, lo
que les permite cobrar un extra por dichos servicios.
Tomemos como ejemplo un grupo de ciberdelincuentes con capacidades específicas para
acceder a equipos supuestamente inaccesibles. Una vez dentro, no roban ni destruyen datos;
simplemente venden ese punto de entrada. O quizá solo perpetraron un ataque a ese equipo
en particular en respuesta a la solicitud de un foro: "¿quién tiene acceso al equipo X?". En
realidad, estaban trabajando para cumplir el requerimiento de un cliente. Y los adversarios no
carecen de sentido del humor. Hacer caer sistemas que habían sido galardonados con algún
tipo de reconocimiento por su nivel de seguridad simplemente porque podían hacerlo se
convirtió en una prueba de valor o en una distinción.
Descompensación fundamental entre los hackers y el sector
Los bandos en esta batalla no dejan lugar a dudas: son los hackers y otros ciberdelincuentes
frente al sector. Y aunque los proveedores de servicios pueden pensar que unos adversarios
cooperantes deben caer derrotados finalmente por las grandes empresas, existe una
descompensación estructural entre ellos que evita que esto ocurra.
Para definir el éxito, cada proveedor de servicios necesita acertar siempre; se considera que
han perdido cuando tan solo un sistema o elemento de datos se ha visto comprometido. No
obstante, el hacker puede atacar miles de veces y solo necesita acertar una vez. Salvo que
cambiemos la naturaleza fundamental de este conflicto, el sector seguirá perdiendo.
Informe técnico empresarial
Página 6
En busca de una solución milagrosa
El lugar obvio para buscar una solución es la tecnología. Sin embargo, Hewlett Packard
Enterprise reconoce que, aunque la tecnología es una parte clave de la solución, las empresas
invierten excesivamente en tecnología y productos de seguridad: ahora hay tantas soluciones
milagrosas que es casi imposible gestionarlas todas.
Además, las empresas dedican actualmente cantidades desproporcionadas a intentar detener
la infiltración: un impresionante 86 % del gasto en seguridad se justifica de este modo, según
algunos cálculos, pero existen otros aspectos que bien merecen el gasto en seguridad.
Un estudio demuestra que las empresas reciben un motivador 21 % del rendimiento de la
inversión si gastan en sistemas de inteligencia de seguridad, en otras palabras, una inversión
combinada en productos, personal y procesos (Ponemon Institute, 2013). El mensaje claro
es que los proveedores de servicios deben utilizar la combinación adecuada de productos y
procesos de seguridad para proteger a sus clientes de manera eficaz.
Aprender la lección de los adversarios
En sus tácticas de combate, las organizaciones deben aprender una lección de los
ciberdelincuentes. Las empresas deben empezar a colaborar de maneras que todavía no son
evidentes, ni siquiera dentro de ejes y segmentos del mismo sector.
HPE está liderando esta iniciativa para construir y compartir inteligencia de amenazas útil
y reconoce la importancia de la recopilación de datos sistematizada y en tiempo real y el
compromiso con unos estándares abiertos. Además de impulsar esta iniciativa en el sector
de la alta tecnología, HPE va a lanzar una plataforma que permite que las organizaciones
compartan la inteligencia de seguridad, las amenazas y su análisis y aporten soluciones con
ayuda de comunidades y organizaciones de confianza.
La visión es elevar el nivel de defensa común en todo el sector. Los adversarios utilizan las
mismas técnicas una y otra vez; por eso, el sector debe compartir información y resolver estos
ataques. Esta colaboración puede ayudar a objetivos futuros a adelantarse a los atacantes
o, como mínimo, a implementar unas defensas sólidas. HPE cree que el desarrollo de unas
comunidades de confianza volverá a equilibrar la balanza, poniendo fin a la desventaja
estructural actual.
Informe técnico empresarial
Página 7
Perturbar, gestionar y ampliar
Para ayudar a los proveedores de servicios a proteger mejor a los clientes y sus datos, HPE
aboga por un enfoque integral de la seguridad. Esto parte de una visión completa y única de
los riesgos en toda la organización, impulsada por las metas y las prioridades de la empresa.
HPE Security se centra en tres principios: perturbar, gestionar, ampliar.
El mundo confía en HPE para acceder
a un enfoque más inteligente de la
seguridad:
• Nº 1 en identificar amenazas y
vulnerabilidades de seguridad2
• Más de 10.000 clientes en todo el mundo,
incluyendo 9 de los 10 bancos más
grandes con más de 9 billones de dólares
en transacciones al día
• 8 centros de operaciones de seguridad
con más de 5.000 profesionales de
seguridad acreditados en todo el mundo
Además de mantenerlos fuera, los proveedores de servicios deben perturbar a sus
adversarios a través de una mayor inversión en prevención y detección. Con las capacidades
en materia de datos no estructurados de las soluciones HPE Information Analytics, los
proveedores de servicios pueden literalmente captar el “chateo de los ciberdelincuentes",
facilitando así ataques preventivos.
En respuesta a la acuciante escasez de personal de seguridad, HPE ocupa una posición única
para gestionar los riesgos para la seguridad, ofreciendo a los proveedores de servicios acceso
a 5.000 especialistas en el sector de la seguridad, a servicios de respuesta a incidencias
de seguridad y a servicios forenses, de litigación y recuperación de datos, apoyados en los
productos de HPE Enterprise Security. Y todas estas soluciones amplían sus capacidades.
Podrá adoptar un enfoque integral mediante unas prácticas de seguridad que incluyan
conformidad y auditoría, políticas, riesgos y amenazas, formación y concienciación y una
arquitectura técnica que garantice que tenga la visibilidad adecuada de las amenazas, tanto
desde el exterior como desde el interior.
Proteja a sus clientes desde todos los ángulos
Cuando las empresas hacen uso de soluciones de TI externas de proveedores de servicios,
sus preocupaciones acerca de la seguridad se ven incrementadas debido a una falta de
control percibido. ¿Cómo puede un proveedor de servicio garantizar que están abordando
estas preocupaciones para proteger a sus clientes? Como líder en el mercado de la seguridad,
HPE realiza estudios de investigación innovadores dirigidos a desarrollar productos y
servicios de seguridad. HPE ocupa la posición de líder en tres de los Cuadrantes mágicos de
Gartner (Magic Quadrants) en sus categorías respectivas por sus productos de seguridad:
HPE ArcSight, HPE Fortify y HPE TippingPoint.1 Como proveedor de servicios que comprende
las principales preocupaciones de sus clientes, al trabajar con HPE, podrá ofrecer la confianza
necesaria para abordar sus requisitos de seguridad.
El panorama de la seguridad sigue cambiando a cada segundo, pero los buenos de la película
se están poniendo las pilas. Dependen menos de la tecnología y más de una combinación
de productos, personal y procesos y, lo que es más importante, de la colaboración. Evalúe las
medidas de seguridad que utiliza para prestar servicios a sus clientes. Para más información,
eche un vistazo a las soluciones de seguridad para proteger las cosas importantes e implique
a HPE para que le ayude a llevar su seguridad hasta el siguiente nivel.
Obtenga más información en
hpe.com/info/security
1
artner, Inc., Cuadrante mágico para Información de
G
seguridad y gestión de eventos, Kelly M. Kavanagh,
Mark Nicolett, Oliver Rochford, 25 de junio de 2014;
Cuadrante mágico para Prueba de seguridad de
las aplicaciones, Joseph Feiman, Neil MacDonald, 1
de julio de 2014; Cuadrante mágico para sistemas
de prevención de intrusiones, Adam Hils, Greg
Young, Jeremy D’Hoinne, 16 de diciembre de 2013.
Gartner no avala a ningún proveedor, producto
o servicio mencionado en sus publicaciones de
investigación, ni recomienda a los usuarios de
tecnología que seleccionen solo los proveedores
con las clasificaciones más altas u otras atribuciones.
Las publicaciones de investigación de Gartner
contienen las opiniones de la organización de
investigación de Gartner y no se deben tomar como
declaraciones de hechos. Gartner declina todas las
garantías, expresas o implícitas, en lo que respecta
a esta investigación, incluida cualquier garantía de
comerciabilidad o idoneidad para un fin determinado.
2
legida la mejor organización de
E
investigación de vulnerabilidades a la
seguridad por Frost & Sullivan, 2012.
Informe técnico empresarial
Regístrese y reciba las
actualizaciones
© Copyright 2014–2015 Hewlett Packard Enterprise Development LP. La información incluida en este documento se podrá modificar
sin previo aviso. Las únicas garantías de los productos y servicios de HPE figuran en las declaraciones expresas de garantía que se
incluyen con ellos. Nada de lo que aquí se indica debe interpretarse como una garantía adicional. HPE no se responsabilizará de los
errores u omisiones técnicos o editoriales que pudiera contener el presente documento.
4AA5-6234ESE, noviembre de 2015, Rev. 1
Descargar